OIDC-Anbieter erstellen

Online bearbeiten

Die Integration eines lokalen OIDC-Anbieters mit IBM® Verify kann die Benutzerverwaltung optimieren, die Sicherheit erhöhen und die Benutzerfreundlichkeit verbessern.

Vorbereitende Schritte

  • Zur Ausführung dieser Task müssen Sie über Verwaltungsberechtigung verfügen.
  • Melden Sie sich als Administrator bei der IBM Verify Verwaltungskonsole an. Weitere Informationen finden Sie unter „Zugriff auf IBM Verify “.

Vorgehensweise

  1. Wählen Sie „Integrationen “ > „OIDC-Anbieter “.
  2. Klicken Sie auf „OIDC-Anbieter erstellen “.
    Der Zweck ist für die Identitätsprüfung voreingestellt. Informationen zur Identitätsprüfung finden Sie unter „Identitätsprüfung verwalten “.
  3. Klicken Sie auf Weiter.
  4. Geben Sie im Abschnitt „Name und Kontakt“ auf der Seite „OIDC-Anbieter“ die folgenden Werte ein.
    1. Geben Sie den Namen Ihres neuen OIDC-Anbieters ein.
    2. Optional: Geben Sie den Namen des Ansprechpartners ein.
    3. Optional: Geben Sie die E-Mail-Adresse des Ansprechpartners ein
  5. Klicken Sie auf „Weiter“...
  6. Geben Sie im Abschnitt „Verbindungsdetails“ auf der Seite „OIDC-Anbieter“ die folgenden Werte ein.
    1. Geben Sie die Client-ID ein.
    2. Geben Sie den Client-Schlüssel ein.
    3. Geben Sie den Emittenten ein.
    4. Rufen Sie den Metadaten- URL auf.
    5. Optional: Geben Sie eine bekannte E-Mail-Adresse an ( URL ).
    6. Geben Sie die Autorisierungs- URL ein.
    7. Geben Sie den Token- URL ein.
    8. Optional: Geben Sie die JWKS-URI ein.
    9. Optional: Geben Sie die Anwendungsbereiche ein.
      Hinweis: Bei der Auswahl anderer Bereiche muss „Opined“ ausgewählt werden.
    10. Wählen Sie die Methode für die Code-Überprüfung aus: entweder „Plain“ oder „ S256 “.
    11. Optional: Geben Sie einen JWS-Algorithmus an.
    12. Als Grant-Typ ist der Autorisierungscode voreingestellt.
    13. Aktivieren Sie die Kontrollkästchen der gewünschten Antworttypen.
    14. Wählen Sie die Authentifizierungsmethode „Token-Endpunkt“ aus.
    15. Wählen Sie die Methode „ HTTP autorisieren“ aus.
    16. Wählen Sie den Antwortmodus aus
  7. Optional: Aktivieren Sie das Kontrollkästchen, um die Option „PKCE verwenden“ zu deaktivieren.
  8. Klicken Sie auf „Erstellen “.
    Der OIDC-Anbieter wird im Bearbeitungsmodus geöffnet.
  9. Nehmen Sie Änderungen an den Feldern des OIDC-Anbieters vor.
  10. Berechnen Sie im Abschnitt „Ausgehende Transformation“ des Abschnitts „Ressourcen “ den Attributwert mithilfe einer benutzerdefinierten Regel.
    Im Folgenden finden Sie Beispiele für unterstützte Attribute in ausgehenden Transformationen.
    Autorisierung
    
    request
        Map<String, Object>
    claims
        Map<String, List<String>>
    login_hint
        String
    custom_parameters
        Map<String, List<String>>
    custom_header_parameters
        Map<String, Object>
    subject
        String

Current supported parameters are returned in a JSON

    - context: output := {}
    ....   
    - return: jsonToString(context.output)
    Token
    
    client_assertion
        Map<String, Object>
    custom_parameters
        Map<String, List<String>>
    custom_header_parameters
        Map<String, Object>
    subject
        String

Current supported parameters are returned in a JSON

    - context: output := {}
    ....
    - return: jsonToString(context.output)
  11. Berechnen Sie im Abschnitt „Incoming-Transformation “ auf der Seite „Ressourcen“ den Attributwert mithilfe einer benutzerdefinierten Regel.
    Genehmigung
    • Wandelt die Daten um, die als Antwort auf die Autorisierungsanfrage gesendet werden.
    Token
    • Wandelt die Antwort auf die Token-Anfrage um.
    • Ruft Daten aus dem ID-Token ab und fügt sie in den Benutzerkontext ein.
    • Derzeit unterstützte Parameter.
    
    decision
        String

Current supported parameters be returned in a JSON

    - context: output := {}
    ....
    - return: jsonToString(context.output)
  12. Klicken Sie auf „Erstellen “.